14、技术安全管理
技术安全通常用于将基于软件和硬件的安全控制与管理和操作安全控制进行对比。技术安全管理是指全面制定管理计划和策略,对技术安全控制的设计、实施和评估进行有效地管理。
技术安全控制:使用VPN和防火墙等。
非技术安全控制:对员工进行培训、安全审计等。
一、安全架构
安全架构是一种统一的安全设计,它解决了特定肠镜或环境中设计的必然问题和潜在风险。安全架构的设计过程通常是可重复的。安全架构中清晰地体现了整个体系的设计原则。安全架构是一种规范性的文件,它使用一套连贯的模型和原则来指导组织的的信息安全策略的实现。安全架构具有以下关键特征:
它包括对模型、原理、起点和条件深入浅出的概述,对信息安全策略进行了具体的解释,但通常不涉及具体的解决方案。
它将复杂问题简化为可理解的模型、原理和子问题。
安全架构中的模型和原则说明了用户应当在何处使用何种措施,某些原则何时是适用的,以及它们怎样和其他原则联系起来。
Sherwood应用业务安全架构(Sherwood Applied Business Security Architecture,SABSA)提供一个端到端的框架,以可追溯的方式确定、设计和部署业务的安全性,并且可以将许多传统标准和流程纳入其中。SABSA采用精心设计、以业务为中心的路径,设计的内容从获取关键业务服务需求到识别支撑业务所需的安全体系架构、服务、机制和组件, 再到解决服务管理问题。
The SABSA Institute - Enterprise Security Architecture
SABSA模型由五个分层组合,第六层横跨其他五层。
上下文安全架构:该层描述了关键业务问题。从资产开始,提供安全性的动机、业务流程、组织相关信息、地理分布以及业务流程中与实践有关的关键因素。
概念性安全架构:考虑每个业务驱动的安全特性,也难辞,组织可以使用SABSA提供的信息和通信技术(ICT)业务属性分类方法。该分类法包含一组用于业务语言描述的返佣安全特征的属性。该层定义了安全域及其相关联的策略体系结构,两者都是定义所有权以便正确地应用安全管理。安全性能和服务界别也在该层定义。
逻辑安全架构:该层提供设计层试图,侧重于提供服务和信息以满足安全性概念。
物理安全架构:该层处理有形物品的交付以支持逻辑服务。
组件安全架构:该层定义了为物理设计提供的硬件和工具,并提供了符合标准的映射。
安全服务管理架构:该层解决组织如何管理体系结构的相关问题。
使用SABSA的重要指南是SABSA安全架构矩阵。表的每一行都应对安全架构中的每一层,每列分别定义了每个级别需要解决的关键问题。
二、恶意软件防护
恶意软件可能是影响组织的最严重的安全威胁。恶意如软件定义如下:
恶意软件是隐藏在另一个程序中的程序,旨在破坏数据,运行破坏性或侵入性程序,或以其他方式危害受害者数据、应用程序或操作系统的机密性、完整性或可用性。
下图基于Internet安全中心提出的《有效网络防御的关键安全控制》,提出了网络防御的关键。组织必须在多个潜在攻击点部署有效的恶意软件防护。企业安全套件应提供管理功能,以验证每个受管系统上的所有部署点是否处于激活状态并保持最新版本。
恶意软件防护软件是一种用于在大范围内环节不断变化的恶意软件威胁的自动化工具。
三、身份和访问管理
身份和访问管理(IAM):通常由几个独立的活动组成,这些活动伴随组织内用户生命周期的各个阶段。这个或活动分为两类:
配置过程:为用户提供访问系统和应用程序所需的账户和访问权限。
用户访问过程:用于管理用户每次尝试访问新系统时执行的操作,例如身份验证和登录。
IAM有以下三种部署方式:
集中式:所有访问决策、配置、管理和技术实现都集中在一个物理或虚拟的部署空间。身份和访问管理的策略、标准和操作都由该部署空间决定。
分散式:本地的、局部的业务部门可以为所有的访问选择、配置、管理和技术实现做出决策。也许存在企业企业范围内的策略和标准,但它们仅为这些分散的供应商提供指导。
联合式:每个组织都订阅一组通用的规则、标准和流程来配置和管理用户。组织也可以从供应商处购买服务。
3.1 IAM结构
身份和访问管理结构是描述IAM系统的主要元素和相互关系的高层次模型。下图显示了IAM系统的典型结构,该结构同时适用于集中式和分散式。
身份管理服务:为每个用户定义身份,将属性与身份相关联,并强制执行某哦中方式来验证用户身份。身份管理系统的核心概念是使用单点登录。SSO使用户能够在单词身份验证后访问所有网络资源。
目录:提供中央身份存储库,并对不同应用程序目录中的用户身份信息进行协调。
访问管理系统:实现用户身份验证。
门户:为用户与系统资源的交互提供个性化界面。
配置服务:涵盖集中式用户管理功能。配置服务用于自动执行多个企业应用程序之间的用户权限和特权切换任务。配置服务允许管理员迅速关闭已终止的账户,从而实现快速创建新员工账户并增强现有的安全实践。
3.2 联合身份管理
联合身份管理是指将身份、身份属性和权力移植到多个企业和众多应用程序,并支持数千甚至数百万用户的协议、标准和技术。
联合身份管理的另一种关键功能是身份映射。不同的安全域可用不同的方法表示身份和属性。此外,与一个域中的个体相关联的信息量可能多余另一个所需的信息两。联合身份管理协议满足一个域中用户的身份和属性映射到另一个域中的需求。
上图编号的分别表示一下操作:
1)终端用户的浏览器或其他应用程序与同一域中的身份提供者进行身份验证对话。终端用户还提供与用户身份相关联的属性值。
2)与身份相关联的一些属性由同一域中的管理员提供。
3)用户希望访问的远程域中的服务提供者从源域中的身份提供者获取用户的身份信息、身份验证信息和相关属性。
4)服务提供者与远程用户打开会话,并根据用户的身份和属性实施访问控制权限。
五、入侵检测
入侵:违法安全策略,通常具有试图影响计算机或网络的机密性、完整性或可用性等特征。
入侵检测:收集有关计算机系统或网络中发生的事件信息并进行分析,以判断是否存在入侵迹象。
入侵检测系统(Intrusion Detection System,IDS):收集和分析计算机系统或网络中各个区域的信息,以发现尝试未经授权访问系统资源的行为,并提供实时或近实时警告的硬件或软件产品。
IDS主要分类如下:
基于主机的IDS:监控单个主机的特征以及该主机内发生的可疑活动事件。由于接入位置的优势,基于主机的IDS可以准确地确定在操作系统的特定攻击中涉及哪些进程和用户程序。
基于网络的IDS:监控特定网段或设备的网络流量,并根据网络层、传输层和应用层协议分析数据流量,以识别可疑活动。
IDS包含以下三个逻辑部件:
传感器:负责收集数据。传感器的输入是包含入侵证据的系统的任何部分。
分析器:分析器接收来自一个或多个传感器或其他分析仪的输入。
用户界面:IDS的用户界面使用户能够查看系统输出或控制系统行为。
5.1 入侵检测方法
入侵检测方法有两种:误用检测和异常检测。
误用检测:基于某些指定的系统事件、事件序列或系统的可观察属性,可被认为使发生系统安全事件的征兆的规则。误用检测器使用多种模式匹配算法,在大型攻击模式数据库或签名上运行。误用检测的一个优点是它准确并且几乎不产生错误警报。缺点是它无法检测到新的或未知的攻击。
异常检测:涉及搜索与系统实体和系统资源的正常行为不同的活动。异常检测的一个优点是它能够基于对活动的审计来检测先前未知的攻击。缺点是假阳性和假阴性之间存在着很大的权衡空间。
因此,对入侵者行为的宽松解释会识别出更多的入侵者,这也会导致许多五宝,将正常授权用户识别为入侵者。另一方面,通过对入侵者行为的严格解释来限制误报的尝试会导致假阴性,导致未被检测出的入侵者数量增加。因此,在异常检测的实践中存在权衡与妥协。
5.2 基于主机的IDS
基于主机的IDS为易受攻击或敏感的系统添加了专门的安全软件层。基于主机的IDS以各种方式监控系统中的活动以检测可疑行为。
基于主机的IDS使用异常检测、误用检测或两者的结合。对于异常检测,有两种常见的策略:
阈值检测:该方法涉及为各种事件的发生频率定义独立于用户的阈值。
基于配置文件:每个用户活动的配置文件被开发并用于检测各个账户的行为变化。
5.3 基于网络的IDS
基于网络的IDS(Network-based IDS,NIDS)监控网网段上的流量作为数据源。这通过将网卡接口设置为混杂模式以捕获穿过其网段的所有网络流量来实现。
NIST传感器部署有四种类型的位置:
在主企业防火墙外:这个位置对于给定的企业网络的威胁级别有用。这会体现安全工作相关价值。
在网络非军事区中,在主防火墙内部但在内部防火墙外部:此位置通常监控向外部人员开放的Web和其他服务的渗透尝试。
内部防火墙外:可以定位传感器以监控主要骨干网络。
内部防火墙后:可以定位传感器以监控支持用户工作站和特定于单个部门的服务器的LAN。
六、数据丢失防护
数据丢失防护(Data Loss Prevention,DLP,信息泄露防护),是一种覆盖人员、流程和系统的综合方法,用于识别、监控和保护使用中的数据和静态数据。DLP控制基于策略,包括对敏感数据进行分类,在整个企业中发现数据,实施控制以及报告和审核以确保策略的合规性。
6.1 数据分类与识别
企业内的所有敏感数据在任何时间和地点都需要受到保护。
第一步:企业需要定义敏感数据,并在必要时对其重要程度进行分级。
第二步:企业需要能够识别遇到的敏感数据。
第三步:必须有能够实时识别敏感数据的应用程序。
以下识别任务的常用方法:
基于规则的识别:正则表达式、关键字和其他基本模式匹配技术最适合基本的结构化数据,例如信号卡。此技术可有效识别包含易于识别的敏感数据的数据块、文件、数据库记录等。
数据库指纹:该技术搜索从数据库加载的数据的精确匹配,该数据库可以包含多个字段组合。
精确文件匹配:该技术涉及计算文件的哈希值,并监控与精确指纹匹配的任何文件。文件是否意外存储或以未经授权的方式传世很容易被检查和实现。
部分文档匹配:此技术涉及在受保护文档上查找部分匹配。它在文档的各部分上使用多个哈希,使得如果文档的一部分被提取并归档到别处,或粘贴到电子邮件中,则可以检测到它。此技术对于保护敏感文档很有用。
6.2 数据状态
管理DLP的一种有用方法是将数据分为三类:动态数据、静态数据和正在使用的数据。与这三种状态相应的是DLP三个关键目标:
静态数据:查找并编制整个企业中存储的敏感信息。
动态(或传输中)数据:监控和控制跨企业网络的敏感信息的传送。
正在使用中数据:监控和控制终端用户系统上敏感信息的传送。
6.2.1 静态数据
DLP对于静态数据的基本任务是识别和记录整个企业中存储特定类型信息的位置。DLP单元使用为执行某种操作的数据发现代理排序方法。
6.2.2 动态数据
动态数据是指在企业网络内部以及企业网络和外部网络链路之间传输的数据。动态数据解决方案一如下两种模式之一运行:
被动监控:在数据包通过网络链路移动式观察数据包的副本。这是通过交换机的端口镜像或网络线路分支来完成。记录包含感兴趣信息的数据包或数据包序列,并且如果存在安全违规会触发警报。
主动监控:在线路上插入中继或网关类型设备,以分析和转发数据包。对于违法安全策略的数据流,活动监控器会记录并发出警报,也可以配置为直接组织该数据流。
6.2.3 使用中的数据
数据使用解决方案通常涉及在终端系统上安全DLP代理软件。代理监控、报告、组织或隔离特定类型的数据文件和文件内容的使用。
七、数字版权管理
数字版权(Digital Rights Management,DRM)是指能够确保数字版权持有者被明确识别,并可以按规定引起作品获得相应报酬的系统和程序。
八、密码学解决方案
8.1 密码技术的使用
密码技术主要有四个用途:
数据加密:数据加密是提供数据机密性和完整性的一种功能强大且成本低廉的方法。
数据完整性:密码算法提供了一种确定数据块是否以未经授权的方式被修改的有效方法。
数字签名:数字签名或电子签名,与书面签名相当,其被认为具有与书面签名相同的法律地位。
用户身份验证:身份验证涉及展示密钥知识,而不需要在开放的网络上传递口令。
8.2 密码算法
密码算法分为三大类:加密/解密算法、安全哈希算法和数字签名算法。
8.2.1 对称加密
对称加密,是使用相同密钥执行加密和解密的算法。
明文:这是作为算法输入的原始消息或数据块。
加密算法:加密算法在明文上执行各种替换和转换。
密钥:密钥也输入加密算法。算法执行的替换和转换操作取决于密钥。
密文:这是作为输出生成的密文块。它取决于明文和密钥。对于给定的数据块,两个不同的密钥将生成两个不同的密文。
解密算法:这是加密算法的逆运算。它使用密文和密钥作为输入,生成原始明文。
安全使用对称加密的两个要求:
1)需要一个强大的加密算法。
2)发送者和接收者必须以安全的方式获取密钥的副本,并确保密钥安全。
攻击对称加密的两种通用方法:
1)密码分析:密码分析攻击依赖于算法的性质,加上对明文的一般特性有所了解,甚至是一些明文/密文的样本对。
2)暴力攻击:是在一段密文上尝试每一个可能的密钥,直到获得可理解的明文翻译。
8.2.2 公钥加密
公钥加密也成为非对称加密,涉及使用两个单独的密钥,而对称加密仅使用一个密钥。公钥加密有5个要素:
明文:这是作为算法输入的可读数据或数据块。
加密算法:加密算法对明文执行各种转换。
公钥和私钥:这是一对选中的密钥,如果一个用于加密信息,另一个可用于解密。加密算法执行的确切转换取决于作为输入提供的公钥或私钥。
密文:这是作为输出生成的密文块。这取决于明文和密钥。对于给定的消息,两个不同的密钥生成两个不同的密文。
解密算法:该算法接收密文及其相应的密钥,生成原始明文。
与对称加密算法一样,公钥加密的安全性取决于算法的强度和私钥的长度。对于给定长度的数据块,公钥加密算法要比对称算法慢得多。
8.2.3 安全哈希函数
与任何哈希函数一样,安全哈希函数将可变长度的数据块作为输入,并产生通常比输入数据块短的固定长度的哈希值。哈希函数H必须具有下表中列出的属性:
下图显示了使用哈希函数的两种常用方法。14-12a说明了使用哈希函数来确保数据块的数据完整性,通常称为消息验证。消息验证的两个重要方面是验证消息的内容未被篡改以及验证消息源是否可信。
对于消息验证,将为源消息生成哈希值。再使用由合作伙伴共享的密钥加密哈希值。然后将消息和加密的哈希值发送到目的地。接收者解密收到的加密哈希值,用接收的消息生成新的哈希值,并比较两个值。
8.2.4 数字签名
数字签名是哈希函数的另一种重要应用。数字签名是一种依靠数据的位模式,是一个由代理生成作为文件、消息或其他形式的数据块的函数。另一个代理可以访问数据块及其对应的签名,来验证数据块是否由所谓的签名者签名,以及自签名后数据块是否未被更改。此外,签名者不能否认签名。
8.3 密钥算法和长度选择
安全管理人员应注意选择算法和长度以达到所需的安全级别。
对于对称加密,建议使用高级加密标准(Advanced Encryption Standard,AES),密钥长度位128、192或256位。
对于哈希函数,则推荐SHA-2或SHA-3。函数的哈希值长度范围为224到512位。SHA-3使用的结构和功能与SHA-2和SHA-1有很大的区别。
对于签名算法,则推荐以下三种数字签名算法:
数字签名算法(DSA),长度为2048位。
RSA算法,长度为2048位。
椭圆曲线数字签名算法,长度为224位。
8.4 实施密码技术的注意事项
NIST SP 800-12《信息安全导论》,列出了以下在组织内实施密码技术的重要管理注意事项:
选择设计和实现标准:几乎总是建议不要依赖个人编写的加密算法,特别是如果算法代码没有开源。系统的管理者和用户应根据成本效益分析、标准接受趋势和互操作性需求选择适当的标准。
在硬件、软件和固件实现之间做出决定:管理员需要在满足标准的各种安全产品中研究安全性、成本、简洁性、效率和易于实施之间的权衡问题。
管理密钥:组织实行适度的密钥管理策略。
九、密钥管理
密钥管理是管理密码系统(加密系统)加密密钥的过程。它涉及密钥的生成、创建、保护、存储、交换、更新和使用,并允许对某些密钥进行选择性限制。除限制访问外,密钥管理还涉及监控和记录每个密钥的访问、使用和上下文。密码管理系统还包括密钥服务器、用户程序和协议,以及加密协议设计。密码系统的安全性取决于成功的密钥管理。
9.1 密钥周期
密钥周期是指特定加密密钥被授权用于其定义目的的世间跨度。许多潜在的安全威胁(暴力破解、密码分析等)使得任何密钥都不能长时间使用。因此,企业应该具备针对每种密钥类型的最长密钥周期策略。
密钥周期分为两个方面。发送者使用期(Originator Usagfe Period,OUP)是数据被加密的事件,而接收者使用期(Recipient Usage Period,RUP)是数据继续保持其加密形式直到被解密的时间。
9.2 密钥生命周期
密钥生命周期由以下六个状态组成:
生成:使用随机或伪随机数生成器生成新密钥。确保攻击者如果如果在生成的密钥序列中发现一个密钥,则预测未来密钥是不可行的。
注册:新密钥需要注册或与特定用户、系统、应用程序或策略相关联。
分发/安装:存储的密钥或新生成的密钥必须分发给有权使用它的人,这个过程需要互相认证。密钥分发者必须确保接收者有权使用此密钥。接收者必须能够相信密钥来自所谓的来源。最后,需要安全地执行仅通过网络上的协议或物理传输完成的分发行为。
使用:通常,特定密钥的使用应限于单一用途或应用程序。在多个应用程序中使用相同的密钥会扩大攻击面并增大被攻击的风险。此外,密钥应以安全的方式使用,以避免泄露。
挂起:如果需要保留超出其使用寿命的密钥,则需要挂起状态。
销毁:当不再需要密钥时,将其从包含密钥副本的所有系统中删除,包括备份和归档系统。
密钥生命周期的核心是存储状态。存储必须保证物理设备和电子数据是安全的。与存储密钥相关的乙方向是将密钥加密。但这涉及使用密钥包装密钥,而它的存储也必须是安全的。理想情况下,密钥包装密钥存储在专用硬件上。与密钥存储设施相关联的两个功能是密钥备份和恢复。同样,必须以安全的方式执行备份和恢复过程,并且必须保护备份存储。
与密钥相关联的其他两个状态是:
轮转:密钥使用的时间越长,尝试破解密钥的攻击者获得的密钥材料就可能越多。术语“轮转”通常用于表示基于该密钥类型的适当加密周期策略将一个密钥替换为另一个密钥的过程。
撤销:如果密钥被泄露,或者怀疑存在泄露,则必须撤销当前密钥并采取补救措施。首先,必须将密钥的停止使用安全地传达给密钥的任何用户。其次,必须执行与所涉风险水平相当的恢复操作。
十、公钥基础设施
公钥基础设施(Public Key Infrastructure,PKI)支持公共加密密钥的分发和识别,使用户和计算机能够通过网络安全地交换数据并验证另一方地身份。
10.1 公钥证书
公钥证书使一组数据,它唯一地表示实体,包含实体的公钥,并由可信方(证书颁发机构,CA)进行数字签名,从而将公钥与实体绑定。
下图展示了生成公钥证书的整体流程:
10.2 PKI结构
PKI结构定义了组织与CA以及PKI用户的之间的关系。PKI体系结构满足以下要求:
任何参与者都可以读取证书以确定证书所有者的姓名和公钥。
任何参与者都可以验证证书是否来自证书颁发机构。
只有证书办法机构可以创建和更新证书。
任何参与者都可以验证证书的时效性。
下图展示了PKI的典型结构:
终端实体:包括终端用户、设备、进程或公钥证书的主体名称中标识的任何项目。终端实体是PKI相关服务的消费者,在某些情况下也是PKI相关服务的提供者。
证书颁发机构:CA是由一个或多个用户信任的认证机构,用于创建和分配公钥证书。CA负责对证书进行数字签名以及办法证书撤销列表(Certificate Revocation List,CRL)。CRL标识是由CA颁发,在其到期之前被撤销的证书。
注册机构(Registration Authority,RA):RA是一个可选组件,用于协助CA承担部分管理功能。RA通常与终端实体的注册过程相关联。这包括验证尝试向PKI注册的终端实体的身份并获得其公钥证书。
存储库:是指用于存储和检索PKI相关信息的任何方法。存储库可以基于X.500的目录,通过轻量级目录访问进行客户端访问,也可以是FTP或HTTP。
依赖方:是指依赖证书中的数据进行决策的任何用户或代理。